Licences multi-appareils (remises sur volume)

Changer de région

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 日本語 汉语 漢語 한국어
Threat Database Remote Administration Tools Klingon RAT

Klingon RAT

Par Mezo en Remote Administration Tools
Se traduisent par :
Français

La tendance des auteurs de logiciels malveillants à se tourner vers le langage de programmation open source Golang pour leurs créations semble ne faire que se renforcer. En conséquence, le nombre de logiciels malveillants écrits en Golang n'a jamais été aussi élevé. L'augmentation du niveau de sophistication affichée par les menaces a également été significative. Un de ces chevaux de Troie d'accès à distance menaçant a été récemment détecté par des chercheurs d'infosec, qui ont nommé la menace Klingon RAT.

Le Klingon RAT a d'abord attiré l'attention des chercheurs en raison de son code le plus unique. Il s'agit d'un phénomène plutôt rare dans l'espace des cybermenaces : les créateurs de logiciels malveillants réutilisent souvent de gros morceaux de code pour réduire le temps nécessaire à la réalisation d'un nouvel outil menaçant. Le Klingon RAT possède les caractéristiques habituelles attendues d'une menace RAT. Cependant, en plus d'eux, il a été équipé de mesures considérablement étendues contre les produits de sécurité, les mécanismes de persistance et les méthodes d'élévation des privilèges.

Activité initiale

L'une des premières actions entreprises par le Klingon RAT sur un système compromis est de tenter de tuer plus de 500 processus différents associés aux produits de sécurité anti-malware. La menace vérifie les processus actifs sur le système et les compare à une liste de processus ciblés. Tout processus correspondant sera alors terminé via la commande task kill.

HKEY_LOCAL_MACHINE
Logiciel\Microsoft\Windows NT\CurrentVersion\Accessibilité

HKEY_CURRENT_USER
Software\Microsoft\Windows NT\CurrentVersion\Options d'exécution du fichier image\magnify.exe

Pour assurer sa présence continue sur les machines violées, le Klingon RAT initie plusieurs schémas de persistance différents. La menace crée deux clés d'exécution de registre - une sous l'utilisateur actuel et une sur la machine locale. Le Klingon RAT peut également détourner le binaire de Microsoft Screen Magnifier - magnify.exe, et le forcer à exécuter le malware lui-même. Ceci est réalisé via les options d'exécution de fichier image qui permettent à n'importe quel exécutable d'être marqué et utilisé comme un outil de « débogueur ». Pour que cette technique fonctionne, le malware s'assure que les deux clés de registre suivantes existent sur le système :

Le Klingon RAT utilise également « WMIC » pour générer un abonnement aux événements qui agit comme un mécanisme de persistance qui démarrera la charge utile corrompue dans les 60 secondes après chaque démarrage de Windows. Une autre technique permet au malware de modifier la clé 'WinLogon' et de la forcer à exécuter le RAT au démarrage de Windows.

Enfin, le Klingon RAT génère une tâche planifiée sous le nom « OneDriveUpdate » qui peut également maintenir sa persistance sur le système. Pour que la tâche soit configurée, la menace dépose d'abord un fichier XML appelé 'elevtor.xml' dans APPDATA.

Augmenter ses privilèges

Outre ses techniques de persistance étendues, le Klingon RAT est également équipé de moyens tout aussi étendus pour élever ses privilèges sur le système violé. La menace déterminera d'abord si elle n'a pas déjà les droits d'administrateur en effectuant deux vérifications. Le Klingon RAT essaiera d'ouvrir '\\\\.\\PHYSICALDRIVE0;' et, s'il ne parvient pas à le faire, il tentera alors d'ouvrir '\\\\.\\SCSI0.' Si aucune des deux vérifications n'est réussie, la menace engagera ses routines d'escalade de privilèges.

Le Klingon RAT exploitera une clé de registre spécifique et exécutera un programme appelé computerdefaults.exe pour terminer le processus. Un autre exploit similaire au précédent concerne le programme 'Features on Demand Helper' (Fodhelper.exe). Il s'agit d'un binaire dont le paramètre 'autoelevate' est défini sur true. La tâche planifiée 'SilentCleanup' pourrait également être exploitée. Les acteurs de la menace abusent du fait qu'il s'exécute avec les privilèges les plus élevés possibles tout en conservant la possibilité d'être lancé par des utilisateurs non privilégiés. Les chercheurs d'Infosec ont trouvé une autre technique - le contournement de l'UAC « Observateur d'événements » », dans le code de Klingor RAT. Cependant, cette fonctionnalité semble être implémentée de manière incorrecte dans les échantillons actuels de la menace.

Le Klingon RAT n'est que le dernier produit Golang lancé par les créateurs de logiciels malveillants. Cela renforce encore le fil du passage des cybercriminels à ce langage de programmation en ce qui concerne leur boîte à outils menaçante. Les utilisateurs individuels et les organisations devraient commencer à prendre des mesures appropriées dans leur stratégie de cybersécurité pour tenir compte de cette nouvelle vague de menaces.

Tendance

Le plus regardé

Chargement...